Close
Logo: HIPAA

Diese Tabelle soll Einrichtungen, die den Health Insurance Portability and Accountability Act (HIPAA) einhalten müssen, einen Überblick darüber geben, wie wir die HIPAA-Anforderungen erfüllen.

Wenn du einen bestehenden Atlassian-Vertrag hast oder mehr darüber erfahren möchtest, wie diese Bedingungen für deinen Vertrag gelten könnten, wende dich an uns.

Anforderung

Beschreibung

So erfüllen wir diese Anforderung

Risk management

Beschreibung

Risiken und Schwachstellen mindern; regelmäßige technische und nichttechnische Evaluierungen als Reaktion auf Änderungen der Umgebung oder der Betriebsabläufe durchführen

So erfüllen wir diese Anforderung

Wir führen jährlich eine Gap-Analyse durch, aktualisieren unsere Sicherheitsrisikoanalyse und erhalten eine HIPAA-Bescheinigung von einer unabhängigen Zertifizierungsstelle.

Wir führen Risikobewertungen durch, die die Identifizierung, Bewertung, Zuweisung, Abnahme, Behebung und andere relevante Managementaktivitäten umfassen, um sicherzustellen, dass wir die vereinbarte Risikobereitschaft und die relevanten gesetzlichen und regulatorischen Anforderungen einhalten. Wir bewerten kontinuierlich das Design von Kontrollen und Risikominderungsstrategien und empfehlen Änderungen der Steuerungsumgebung. Wir pflegen eine Risiko- und Kontrollmatrix in unserem GRC-Tool (Governance, Risk and Compliance).

Sicherheit der Belegschaft

Beschreibung

Hintergrundüberprüfung und ordnungsgemäße Kündigungsverfahren durchführen

So erfüllen wir diese Anforderung

Für neue Atlassian-Mitarbeiter weltweit ist eine Hintergrundüberprüfung erforderlich, wenn sie ein Stellenangebot annehmen. Eine Reihe von Hintergrundprüfungen wird automatisch ausgelöst und für alle neu eingestellten Mitarbeiter sowie für unabhängige Auftragnehmer ausgeführt.

Unsere Mitarbeiter und Auftragnehmer, die Zugriff auf vertrauliche Informationen haben, sind an ihre Arbeitsverträge und Vertraulichkeitserklärungen gebunden, um sicherzustellen, dass die Verantwortlichkeiten und Pflichten zur Informationssicherheit auch nach Beendigung oder Änderung des Arbeitsverhältnisses gültig bleiben.

Beschreibung

Sanktionen gegen Mitglieder der Belegschaft festlegen

So erfüllen wir diese Anforderung

Beim Onboarding müssen alle neuen Mitarbeiter unseren Verhaltenskodex und unsere Ethikrichtlinien anerkennen sowie eine Schulung zum Sicherheitsbewusstsein absolvieren. Es gibt offizielle Sanktionen, die verhängt werden können, wenn Personen gegen die festgelegten Richtlinien und Verfahren zur Informationssicherheit verstoßen.

Verwaltung des Informationszugriffs

Beschreibung

Zugriffsautorisierung für Mitarbeiter, die mit ePHI arbeiten, durchsetzen

So erfüllen wir diese Anforderung

Die Active Directory-Rollenmitgliedschaft wird automatisch basierend auf der Abteilung und dem Team eines Benutzers zugewiesen und ist auf diejenigen beschränkt, die entsprechenden Zugriff benötigen. Wenn ein Benutzer in ein anderes Team wechselt, wird eine Warnmeldung generiert, die gegebenenfalls die Nachverfolgung und Entfernung des bisherigen Zugriffs auslöst. System- oder Servicebesitzer wurden als Genehmiger benannt, die den Benutzerzugriff innerhalb der Active Directory-Zugriffsebenen für verschiedene Systeme gewähren oder ändern können.

Privilegierten Zugriff auf Produktionsumgebungen erhalten nur autorisierte und geeignete Benutzer.

Der Zugriff auf unser internes Netzwerk und unsere Tools wird über logische Zugriffsmaßnahmen auf autorisierte Benutzer beschränkt. Jedes Benutzerkonto muss Folgendes erfüllen:

  • Es muss über ein aktives Active Directory-Konto verfügen und
  • Mitglied der entsprechenden Active Directory-Gruppe sein.

Beschreibung

Zugriff nur bei Angemessenheit gewähren (nach dem Prinzip der geringsten Rechte)

Beschreibung

Sitzungen nach einer vorab festgelegten Zeit der Inaktivität beenden

So erfüllen wir diese Anforderung

Für Desktop- und Mobilgeräteanwendungen wird ein Zeitüberschreitungswert für Benutzersitzungen festgelegt, der sich nach unseren üblichen Betriebsverfahren richtet (8 bis 24 Stunden für Desktop-Sitzungen, 30 bis 90 Tage für Mobilgerätesitzungen).

Bei macOS- und Windows-Endgeräten wird ein Bildschirmschoner durchgesetzt, bei dem zum Entsperren ein Passwort eingegeben werden muss.

Management der Incident Response

Beschreibung

Auditprotokollierung/-erkennung durchführen (einschließlich Überwachung von Anmeldeversuchen)

So erfüllen wir diese Anforderung

Wir bewahren Ereignisprotokolle auf und schützen sie vor Verlust und Manipulation. Wir überprüfen regelmäßig den Zugriff auf Protokolle. Wir haben die Protokollierung in unserer AWS-Umgebung aktiviert und leiten diese Protokolle an Splunk weiter. Wir haben automatische Warnmeldungen für AWS sowie Jira- und Confluence Cloud-Ereignisse basierend auf bekannten und früheren Sicherheitsereignissen und Vorfällen eingerichtet.

Wir führen einen Überprüfungsprozess durch, um unsere Warnmeldungen zu optimieren und Fehlalarme zu entfernen. Wir haben einen fest zugewiesenen Automatisierungstechniker, der den Prozess der Entwicklung und Selektierung von Warnmeldungen optimiert.

Beschreibung

Vermutete oder bekannte Sicherheitsvorfälle identifizieren und darauf reagieren; Vorfälle und ihre Folgen beheben und dokumentieren

So erfüllen wir diese Anforderung

Wir haben einen unternehmensweiten Vorfallmanagementprozess implementiert, bei dem das Sicherheitsteam für das Programm verantwortlich ist. Dieser umfasst Folgendes:

  • Aufzeichnung jeder Aktion beim Vorfallmanagement in einem dafür vorgesehenen System in Form eines Tickets für den Vorfall. Diese Aufzeichnungen müssen Folgendes enthalten:
    • Zeitpunkt, zu dem der Vorfall begonnen hat
    • Beschreibung des Vorfalls
    • Schweregrad
    • Betroffene Services
    • IT-Einfluss
    • Anzahl der betroffenen Kunden
    • Grundlegende Ursache
    • Ergriffene Maßnahmen
    • Betroffene SLOs (Funktionen betroffen)
  • Zuordnung der Probleme, soweit möglich, zur zugrunde liegenden Ursache und/oder Zusammenfassung zu übergeordneten Vorfällen
  • Durchführung einer Überprüfung nach dem Vorfall (Post Incident Review, PIR) im Anschluss an größere und kritische Vorfälle

Zuständigkeit für die Sicherheit

Beschreibung

Eine Person benennen, die für die Entwicklung und Implementierung des HIPAA-Sicherheits-Compliance-Programms zuständig sein soll

So erfüllen wir diese Anforderung

Wir haben einen fest zugewiesenen HIPAA-Sicherheitsbeauftragten. Dieser kennt seine Verantwortlichkeiten und die HIPAA-Sicherheitsregel und weiß, was diese Anforderungen für unsere Produkte bedeuten.

Zuständigkeit für den Datenschutz

Beschreibung

Eine Person benennen, die für die Entwicklung und Implementierung des HIPAA-Datenschutz-Compliance-Programms zuständig sein soll

So erfüllen wir diese Anforderung

Wir haben einen fest zugewiesenen HIPAA-Datenschutzbeauftragten. Dieser kennt seine Verantwortlichkeiten und die HIPAA-Datenschutzregel und weiß, was diese Anforderungen für unsere Produkte bedeuten.

Förderung des Sicherheitsbewusstseins, u. a. mit Schulungen

Beschreibung

Schulungen zum Sicherheitsbewusstsein durchführen

So erfüllen wir diese Anforderung

Im Rahmen des Atlassian-Programms zum Sicherheitsbewusstsein müssen alle Mitarbeiter jährlich Schulungen absolvieren. Darüber hinaus verteilen wir das ganze Jahr über spontan Übungen zur Sicherheitssensibilisierung und -kommunikation.

Notfallplanung

Beschreibung

Verfahren zur Fortführung kritischer Geschäftsprozesse einrichten

So erfüllen wir diese Anforderung

Wir haben Verfahren für Disaster Recovery definiert, überprüft und getestet. Die Richtlinie beschreibt allgemein den Zweck, die Ziele, den Umfang, das Recovery Time Objective (RTO), das Recovery Point Objective (RPO) und die Rollen/Verantwortlichkeiten. Wir testen unsere offiziellen Pläne für Geschäftskontinuität und Disaster Recovery vierteljährlich. Zur Unterstützung von Notfallplankomponenten bewerten wir jährlich, welche Services und Systeme geschäftskritisch sind.

Wir führen Backups und Wiederherstellungen von Anwendungen, Systemen und Konfigurationen, die mit den Atlassian-Assets verknüpft sind, gemäß unseren Standardbetriebsverfahren durch und testen sie.

Verträge mit Geschäftspartnern

Beschreibung

Vereinbarungen mit Geschäftspartnern aufsetzen, die zufriedenstellende Zusicherungen beinhalten, dass Kundendaten von Atlassian und Drittanbietern angemessen geschützt werden

So erfüllen wir diese Anforderung

Wir versichern, dass wir deine Daten angemessen schützen und nur verwenden oder offenlegen, soweit dies zulässig oder erforderlich ist, wo immer wir PHI in deinem Namen erstellen, empfangen, verwalten oder übertragen. Diese Zusicherungen werden in den mit dir getroffenen Geschäftspartnervereinbarungen festgehalten. Wir haben auch einen Implementierungsleitfaden erstellt, der Anweisungen für Kunden zur Nutzung und Konfiguration unserer Services enthält, um sicherzustellen, dass sie Informationen ebenfalls angemessen schützen.

Darüber hinaus stellen wir sicher, dass relevante Drittanbieter deine PHI schützen, indem wir sie auffordern, Geschäftspartnervereinbarungen mit uns zu unterzeichnen.

Physische Sicherheit und Endgerätekontrollen

Beschreibung

Physische Einrichtungen und Geräte vor Manipulation/Diebstahl schützen

So erfüllen wir diese Anforderung

Alle unsere Mitarbeiter und Auftragnehmer erhalten beim Onboarding einen Sicherheitsausweis, um physischen Zugang zu einer Einrichtung zu erhalten. Wenn die betreffende Person aus dem Unternehmen ausscheidet und ihr Profil in unserem Personalinformationssystem geschlossen wurde, widerruft unser System automatisch den physischen Zugang.

Besucher lokaler Standorte erhalten temporäre Ausweise. Diese Gastausweise müssen beim Verlassen des Gebäudes zurückgeben werden. Wenn die Ausweise nicht zurückgegeben werden, werden sie automatisch ungültig.

Beschreibung

Physische Sicherheitsvorkehrungen für alle Workstations implementieren, die auf ePHI zugreifen

So erfüllen wir diese Anforderung

Wir haben ein Zero Trust-Netzwerk implementiert, damit nur bekannte Geräte Zugriff erhalten, die bei einer Verwaltungsplattform registriert sind. Wir haben unsere Anwendungen je nach den Daten, die darin gespeichert werden, und den Systemen, mit denen sie sich verbinden, in Sicherheitsstufen eingeteilt. Es gibt eine hohe, eine niedrige und eine offene Stufe. Der Gerätetyp und der zugehörige Sicherheitsstatus werden bewertet, um zu ermitteln, auf welche Anwendungen Zugriff gewährt wird.

Wir verwalten Festplattenverschlüsselung, Passwortsperre und Sicherheitspatches auf allen macOS- und Windows-Laptops.

Wir haben USB-Massenspeichergeräte auf allen von Atlassian ausgegebenen macOS- und Windows-Computern als schreibgeschützt konfiguriert.

Beschreibung

Verfahren zum Umgang mit der endgültigen Disposition von ePHI und der Hardware, auf der sie gespeichert sind, einführen

So erfüllen wir diese Anforderung

Wir löschen die Daten von allen zurückgegebenen Laptops, bevor sie erneut bereitgestellt oder entsorgt werden. Es gibt auch ein Verfahren für verlorene/gestohlene Laptops, um sicherzustellen, dass keine Daten gestohlen werden.

Richtlinien und Verfahren

Beschreibung

Dokumente ab Erstelldatum oder letztem Gültigkeitsdatum 6 Jahre aufbewahren

So erfüllen wir diese Anforderung

Alle unsere Richtlinien werden mindestens einmal jährlich vom designierten Richtlinienverantwortlichen überprüft und auf unbestimmte Zeit aufbewahrt. Einen Überblick über unsere Richtlinien findest du unter Unsere Atlassian-Richtlinien für Sicherheit & Technologie.

Unsere Datenschutzrichtlinie kannst du hier einsehen.

Sicherheit bei der Übertragung

Beschreibung

Sicherheitsmaßnahmen implementieren, damit ePHI nicht unsachgemäß geändert werden können

So erfüllen wir diese Anforderung

Wir verschlüsseln alle Daten von HIPAA-qualifizierten Cloud-Produkten im Ruhezustand. Darüber hinaus verschlüsseln wir Daten, die über öffentliche Netzwerke übertragen werden, und stellen sicher, dass die Daten das vorgesehene Ziel erreichen.

Externe Benutzer müssen bei Verbindungen zu HIPAA-qualifizierten Cloud-Produkten SSL-Verschlüsselung für den Datenverkehr nutzen.

Beschreibung

Nach Bedarf Mechanismen zur Verschlüsselung von ePHI festlegen

Zertifizierung

Derzeit ist Zertifizierung im Zusammenhang mit HIPAA verfügbar. Die Behörden, die Medizintechnologie zertifizieren, genehmigen keine Software und ermächtigen unabhängige Zertifizierungsbehörden nicht, Geschäftspartner oder betroffene Unternehmen mit einer HIPAA-Bescheinigung zu akkreditieren. Daher gibt es keine offizielle Zertifizierung, die uns HIPAA-Konformität bescheinigt. Unsere Cloud-Produkte werden jedoch jährlich einer unabhängigen Überprüfung der betrieblichen Wirksamkeit ihrer Sicherheits-, Datenschutz- und Compliance-Kontrollen unterzogen. Eine unabhängige Zertifizierungsbehörde hat ein Audit durchgeführt und bestätigt, dass Atlassian über die erforderlichen Kontrollen und Praktiken verfügt, um sicherzustellen, dass alle HIPAA-Vorschriften eingehalten werden.

Uns bei Atlassian ist es sehr wichtig, dein Vertrauen zu gewinnen und zu behalten. Wir wissen, dass du dich darauf verlassen können musst, dass wir deine Daten schützen und dabei auch die geltenden Gesetze und Vorschriften einhalten. Wir halten uns an die in den HIPAA-Richtlinien für Sicherheit, Datenschutz und Meldung von Verstößen dargelegten Präzedenzfälle und bieten dir eine sichere Umgebung, in der du dein Unternehmen beruhigt führen kannst.